Was ist Payload CMS? Der ausführliche CIO-Guide zum Code-first Headless-CMS (2026)

Payload CMS ist das Code-first Headless-CMS im Next.js-Ökosystem: MIT-lizenziert, self-hosted, mit Auth und Zugriffskontrolle im Kern. Der ausführliche Entscheider-Guide – Substitution, Figma-Übernahme, Payload vs. Sanity, DSGVO, Kosten.
5 Min. LesezeitMatthias RadscheitMatthias Radscheit
Happycodingde-DE

TL;DR

Payload ist ein Code-first, MIT-lizenziertes Headless-CMS auf TypeScript-Basis, das seit Version 3 nativ in Next.js-Anwendungen läuft: Datenmodell als Code, Datenbank (PostgreSQL) in Ihrer Infrastruktur, Authentifizierung und Zugriffskontrolle im Kern – ohne Lizenzkosten und ohne Content-SaaS-Abo. Es ersetzt Strapi, Directus, Contentful-Klassen-SaaS und den CMS-Eigenbau. Seit der Übernahme durch Figma (2025) hat Payload starkes kommerzielles Rückgrat; die MIT-Lizenz bleibt die Absicherung. Für redaktionsgetriebene Multi-Channel-Inhalte bleibt Sanity die stärkere Wahl – wir setzen bewusst beide ein und ordnen im Guide ehrlich ein, wann welches System trägt.

  • Payload ist Code-first: Das Datenmodell lebt als TypeScript-Konfiguration im Repository – versioniert, reviewbar, CI/CD-tauglich.
  • Seit Payload 3 Next.js-nativ: CMS, Admin-Panel und Website laufen in einer Anwendung und einem Deployment – Ihre Datenbank, Ihre Infrastruktur.
  • MIT-Lizenz ohne Feature-Gating: Auth, Zugriffskontrolle, Localization und Versionierung sind im Open-Source-Kern, nicht im Enterprise-Tarif.
  • Die Figma-Übernahme (2025) gibt kommerzielles Rückgrat – und die MIT-Lizenz bleibt die strukturelle Absicherung für den Extremfall.
  • Payload vs. Sanity ist keine Entweder-oder-Religion: app-nahe Inhalte mit Datenhoheit → Payload; kollaborative Redaktion und Content als Service → Sanity.
  • Ehrliche Grenze: Ohne TypeScript-Kompetenz im Team (oder einen Partner) verschenkt Payload seinen größten Vorteil.
Definition: Payload CMS
Payload ist ein Open-Source Headless-CMS auf TypeScript-Basis (MIT-Lizenz), das als Code-first-System direkt in Next.js-Anwendungen läuft: Datenmodelle werden als Konfiguration im Code definiert, Inhalte liegen in Ihrer eigenen Datenbank (PostgreSQL oder MongoDB), Authentifizierung, Zugriffskontrolle, Versionierung und Mehrsprachigkeit gehören zum Kern. Seit 2025 gehört Payload zu Figma.

Die Headless-CMS-Landschaft hat sich 2026 in zwei Lager sortiert: Content-as-a-Service-Plattformen, die Inhalte in ihrer Cloud verwalten (Contentful, Sanity, Storyblok), und selbst betriebene Systeme, bei denen Daten und Laufzeit im eigenen Haus bleiben. Payload ist der prominenteste Vertreter einer dritten, jüngeren Idee: Das CMS ist kein separates System mehr, sondern Teil der Anwendung selbst – im selben Repository, im selben Deployment, in derselben Sprache. Für Entscheider ist das mehr als ein Entwickler-Komfortmerkmal: Es verändert Kostenstruktur, Datenhoheit und Betriebsmodell.

Was Payload technisch anders macht

Drei Architektur-Entscheidungen prägen Payload – und erklären, warum es sich so schnell im Next.js-Ökosystem etabliert hat:

  • Config-as-Code: Collections, Felder, Validierungen und Zugriffsregeln werden als TypeScript-Konfiguration definiert – nicht zusammengeklickt. Das Datenmodell liegt im Git-Repository, durchläuft Code-Review und CI/CD und ist zwischen Umgebungen reproduzierbar. Für Governance-Prozesse ist das ein fundamentaler Unterschied zu Klick-Konfiguration: Jede Schemaänderung ist nachvollziehbar, testbar und rückrollbar.
  • Next.js-nativ seit Version 3: Payload installiert sich in die Next.js-Anwendung hinein. Admin-Panel, APIs und Website teilen sich ein Deployment; die Local API erlaubt Datenzugriffe ohne HTTP-Umweg direkt im Server-Rendering. Praktisch heißt das: ein Repository, eine Pipeline, ein Hosting – statt CMS-Instanz plus Frontend plus Synchronisation.
  • Ihre Datenbank statt Content-Cloud: Inhalte liegen in PostgreSQL (oder MongoDB) auf Ihrer Infrastruktur. Backups, Verschlüsselung, Aufbewahrung und Löschkonzepte folgen Ihren Regeln – nicht den Vertragsbedingungen eines Content-SaaS.

Welche Produkte ersetzt Payload CMS?

Payload besetzt die Schnittmenge aus Headless-CMS, Anwendungs-Backend und Admin-Framework. Je nach Ausgangslage ersetzt es damit unterschiedliche Systeme:

SystemModellWann Payload die Alternative ist
StrapiOpen-Source-Headless-CMS (Node.js), Open Corewenn TypeScript-Ende-zu-Ende, Next.js-Integration und Features ohne Enterprise-Gating gewünscht sind
Directusdatenbanknahes Open-Source-CMS/Backendwenn das Datenmodell im Code statt in der Datenbank-UI leben soll
Contentful / Content-SaaSContent-as-a-Service, nutzungs-/platzbasierte Tarifewenn Abokosten, Datenhoheit oder API-Limits gegen die Cloud sprechen
WordPress + ACF (headless)PHP-Ökosystem mit Feld-Pluginswenn der PHP/Plugin-Stack einem typisierten TypeScript-Stack weichen soll
CMS-/Admin-Eigenbauindividuelles Backend mit Admin-UIPayload ersetzt den Eigenbau: Admin, Auth und CRUD sind gelöst, Ihre Logik kommt als Hooks und Endpoints dazu
Firebase/Backend-Baukasten für Content-AppsBaaS-Datenhaltung ohne Redaktions-UIwenn Inhalte ein echtes Redaktions-Interface mit Rollen und Freigaben brauchen

Bemerkenswert ist die letzte Zeile der Tabelle: Weil Payload Authentifizierung, Rollen und Zugriffskontrolle im Kern mitbringt, ersetzt es in vielen Projekten nicht nur das CMS, sondern auch das halbe Anwendungs-Backend – Kundenportale, Mitgliederbereiche oder interne Tools entstehen auf derselben Basis wie der Content.

Die Vorteile eines Code-first Open-Source-CMS

  • Keine Lizenz- und keine Content-SaaS-Kosten: Die MIT-Lizenz kennt kein Feature-Gating – Localization, Versionierung, Auth und Zugriffskontrolle kosten nichts extra. Die Kostenkurve hängt an Ihrer Infrastruktur, nicht an Einträgen, API-Calls oder Redaktionsplätzen.
  • Datenhoheit als Architektur: Inhalte, Nutzer und Medien liegen in Ihrer Datenbank auf EU-Infrastruktur. DSGVO-Fragen (Speicherort, Auftragsverarbeitung, Löschkonzepte) beantwortet die Architektur, nicht ein Vertragsanhang.
  • Ein Stack, ein Deployment: CMS und Anwendung teilen sich TypeScript, Repository und Pipeline. Das reduziert Schnittstellen, Deployments und die Zahl der Systeme, die ein Team beherrschen muss.
  • Erweiterbarkeit ohne Plattformgrenzen: Hooks, eigene Endpoints, eigene React-Komponenten im Admin – Geschäftslogik wird Teil des Systems statt Workaround daneben.
  • Exit-Sicherheit: Standard-PostgreSQL plus MIT-Code im eigenen Repository – es gibt schlicht keinen Anbieter, der Ihnen den Betrieb entziehen oder Konditionen diktieren könnte.
  • Auth inklusive: Login, Rollen, API-Keys und feldgenaue Zugriffsregeln gehören zum Kern – für viele Projekte entfällt ein separates Auth-System (die Abgrenzung zu vollwertigem IAM weiter unten).

Die Figma-Übernahme: Was sie für Entscheider bedeutet

2025 hat Figma Payload übernommen – für ein Open-Source-Projekt dieser Größe ein einschneidendes Ereignis, das in Auswahlprozessen zu Recht hinterfragt wird. Die nüchterne Einordnung: Kurzfristig bedeutet die Übernahme kommerzielles Rückgrat, Vollzeit-Entwicklung und wachsende Sichtbarkeit – Payload ist damit besser finanziert als die meisten Open-Source-CMS. Mittelfristig bleibt die strategische Unsicherheit, wie stark die Roadmap künftig auf Figma-Anwendungsfälle einzahlt. Die strukturelle Absicherung dagegen ist die MIT-Lizenz: Der gesamte Kern inklusive Admin-Panel ist quelloffen, forkbar und läuft auf Ihrer Infrastruktur weiter – zu Ihren Bedingungen, unabhängig von Produktentscheidungen in San Francisco. Wer Payload evaluiert, sollte die Übernahme als das behandeln, was sie ist: ein Governance-Faktum, das ins Entscheidungsprotokoll gehört – kein Ausschlusskriterium, aber auch kein Verkaufsargument ohne Kontext.

Payload vs. Sanity: die ehrliche Abgrenzung aus der Doppel-Praxis

Wir implementieren beide Systeme – und genau deshalb gehört die Abgrenzung in diesen Guide, ohne Lagerdenken. Die Systeme lösen unterschiedliche Schwerpunkte:

KriteriumPayloadSanity
GrundmodellCode-first, self-hosted, Teil der Next.js-AppContent Lake als Service, Studio als Oberfläche
DatenhaltungIhre PostgreSQL-/MongoDB-Instanz (EU, self-hosted)Sanity-Cloud (Content Lake), vertraglich geregelt
Kostenmodell0 € Lizenz, Kosten = Infrastruktur + ProjektFree-Tier; Teams ab ca. 15 $/Nutzer/Monat (Stand Juli 2026)
Redaktions-Kollaborationsolide (Versionen, Drafts, Live-Preview)sehr stark (Echtzeit-Kollaboration, Presence, Kommentare)
Strukturierter Multi-Channel-Contentgut (Blocks, Relationen)Referenzklasse (Portable Text, GROQ, Releases)
Auth & Zugriffskontrolleim Kern enthalten, feldgenauStudio-Rollen; App-Auth ist separat zu lösen
Typischer Sweet Spotapp-nahe Inhalte, Portale, Datenhoheit, Budget ohne SaaS-Aboredaktionsgetriebene Websites, große Content-Teams, Mehrkanal

Unsere Faustregel aus Projekten: Ist das Vorhaben eher eine Anwendung mit Inhalten (Portal, Produkt, interne Tools) oder verlangt es strikte Datenhoheit, führt der Weg zu Payload. Ist es eine redaktionsgetriebene Content-Plattform mit vielen Autoren und Kanälen, spielt Sanity seine Stärken aus – wie auf unserer Sanity-Leistungsseite beschrieben. Dazwischen entscheidet der Einzelfall – genau dafür gibt es unsere unabhängige CMS-Beratung.

Die Architektur in 90 Sekunden

Inhalte organisiert Payload in Collections (z. B. Seiten, Artikel, Produkte, Nutzer) und Globals (Singletons wie Navigation oder Einstellungen). Felder reichen von Primitiven über Relationen bis zu Blocks – wiederverwendbaren Inhaltsbausteinen für Pagebuilder-Muster. Hooks führen Logik bei Lese- und Schreiboperationen aus (Validierung, Anreicherung, Webhooks), Access-Control-Funktionen regeln Zugriffe pro Collection, Dokument oder Feld. Nach außen sprechen drei APIs: REST und GraphQL für externe Konsumenten, die Local API für latenzfreie Zugriffe im eigenen Next.js-Server. Das Admin-Panel ist React – anpassbar bis hin zu eigenen Feldkomponenten und Views. Versionierung, Drafts, geplante Veröffentlichung, Localization und Live-Preview gehören zum Kern.

Wann Payload passt – und wann nicht

Ehrlich bleibt ehrlich, auch bei einem System, das wir gern einsetzen. Payload passt nicht, wenn kein TypeScript-Know-how verfügbar ist und auch kein Partner den Betrieb trägt – ein Code-first-CMS ohne Code-Kompetenz verschenkt seinen Kernvorteil. Es passt ebenfalls nicht, wenn große Redaktionsteams Echtzeit-Kollaboration brauchen (dann Sanity) oder wenn eine reine Marketing-Site mit minimaler IT gesucht ist (dann sind auch verwaltete Plattformen legitim). Payload spielt seine Stärken aus bei: Kundenportalen und Anwendungen mit redaktionellen Anteilen, strikten Datenhoheits-Anforderungen, Next.js-Teams, die Systemgrenzen reduzieren wollen – und überall dort, wo Content-SaaS-Abos oder CMS-Lizenzmodelle wirtschaftlich nicht mehr tragen.

Betrieb und Kosten für Entscheider

Die Rechnung folgt dem bekannten Open-Source-Muster: Lizenz null, Kosten in Projekt und Betrieb. Ein fokussiertes Payload-Setup liegt in unserer Projektklassifikation bei 8.000–20.000 €, eine vollständige Anwendung mit Portal-Funktionen bei 20.000–60.000 €; der Betrieb auf EU-Infrastruktur (bei uns typischerweise Hetzner mit PostgreSQL) bewegt sich im niedrigen dreistelligen Monatsbereich. Der strukturelle Unterschied zu Content-SaaS: keine Kosten pro Redaktionsplatz, Eintrag oder API-Call – und die Datenbank gehört von Tag eins Ihnen. Wie sich solche Stack-Entscheidungen über Jahre rechnen, zeigt exemplarisch unser TCO-Vergleich WordPress vs. Sanity + Next.js – die Methodik überträgt sich eins zu eins auf Payload-Szenarien.

Für die Systemwahl im konkreten Fall: unabhängige CMS-Beratung – lizenzneutral, mit dokumentierten Trade-offs. Und wo Payloads eingebaute Auth endet und echtes IAM beginnt, erklärt unser Keycloak-Guide.

Häufige Fragen

Ist Payload CMS DSGVO-konform betreibbar?
Ja, strukturell: Payload läuft self-hosted, Inhalte und Nutzerdaten liegen in Ihrer eigenen Datenbank auf EU-Infrastruktur – ohne Content-Cloud und ohne Drittland-Transfer im Kern. Speicherort, Backups, Aufbewahrung und Löschkonzepte folgen Ihren Richtlinien. Übrig bleiben die Dienste, die Sie selbst anbinden. Wir betreiben Payload-Setups typischerweise auf Hetzner in Deutschland.
Was kostet Payload CMS wirklich?
Die Software: nichts – MIT-Lizenz ohne Feature-Gating, keine Kosten pro Nutzer, Eintrag oder API-Call. Real budgetieren Sie Projekt und Betrieb: ein fokussiertes Setup ab 8.000–20.000 €, eine vollständige Anwendung 20.000–60.000 €, Betrieb im niedrigen dreistelligen Monatsbereich. Der Vergleichsmaßstab sind Content-SaaS-Abos, die mit Redaktionsplätzen und Nutzung wachsen.
Welche Systeme ersetzt Payload konkret?
Headless-CMS wie Strapi, Directus oder Contentful-Klassen-SaaS, headless betriebenes WordPress+ACF – und häufig den Eigenbau von Anwendungs-Backends samt Admin-UI, weil Auth, Rollen und CRUD im Kern stecken. Nicht ersetzt es spezialisierte Systeme wie PIM oder ERP – die bindet es an.
Was bedeutet die Figma-Übernahme für die Zukunftssicherheit?
Zweischneidig, aber beherrschbar: Die Übernahme (2025) bringt Finanzierung, Vollzeit-Team und Sichtbarkeit – die Roadmap-Hoheit liegt nun aber bei Figma. Die strukturelle Absicherung ist die MIT-Lizenz: Kern und Admin sind quelloffen und forkbar, Ihr Deployment läuft unabhängig von Produktentscheidungen weiter. Ins Entscheidungsprotokoll gehört beides.
Payload oder Sanity – was ist besser?
Falsche Frage – sie lösen unterschiedliche Schwerpunkte, und wir implementieren bewusst beide: Payload für app-nahe Inhalte, Portale und strikte Datenhoheit (self-hosted, Auth im Kern); Sanity für redaktionsgetriebene Multi-Channel-Plattformen mit Echtzeit-Kollaboration großer Content-Teams. Die Wahl folgt dem Redaktionsmodell und der Datenhoheits-Anforderung, nicht dem Hype.
Payload oder Strapi – die häufigste Vergleichsfrage?
Beide sind Open-Source-Node-CMS; die Unterschiede liegen im Modell: Payload ist konsequent Code-first und TypeScript-nativ, läuft seit Version 3 in der Next.js-App und hält Kernfunktionen ohne Enterprise-Gating frei. Strapi konfiguriert mehr über die Admin-UI und verlagert einige Enterprise-Funktionen in Bezahlstufen. Für Next.js/TypeScript-Teams ist Payload heute meist die konsistentere Wahl.
Reicht Payloads eingebaute Authentifizierung – oder brauchen wir Keycloak?
Für Anwendungs-Login, Rollen und API-Zugriff innerhalb der Payload-Anwendung: ja, sie ist vollwertig. Sobald Single Sign-on über mehrere Anwendungen, Verzeichnis-Federation (Active Directory) oder unternehmensweites Identity-Management gefragt sind, gehört ein IAM wie Keycloak davor – Payload docken Sie dann als OIDC-Client an. Beides schließt sich nicht aus, es sind zwei Ebenen.
Wie läuft eine Migration von WordPress oder einem SaaS-CMS?
Planbar in drei Schritten: Datenmodell in Payload-Collections übersetzen (der wertvollste Schritt – Altlasten fliegen raus), Inhalte per Skript über REST/Local API importieren, Redirects und SEO-Migration absichern. Aufwandstreiber sind Inhaltsqualität und Sonderfälle im Altsystem, nicht Payload. Bei SaaS-Quellen kommt der Export-Weg des Anbieters dazu.
Skaliert Payload für große Installationen?
Ja – die Grenzen setzt die gewählte Infrastruktur, nicht das CMS: PostgreSQL skaliert bewährt, Next.js-Instanzen skalieren horizontal, Medien liegen im Object Storage, Caching und CDN übernehmen die Auslieferung. Für Lastspitzen zählt das Betriebskonzept; die Local API vermeidet zudem interne HTTP-Overheads.
Welche Team-Voraussetzungen braucht Payload?
TypeScript-Kompetenz – das ist die ehrliche Eintrittskarte. Das Datenmodell lebt im Code; wer es pflegen will, muss Code lesen und ändern können. Redakteure arbeiten dagegen in einem modernen Admin-Panel ohne technische Hürden. Ohne internes TypeScript-Team funktioniert Payload gut im Partnermodell: Setup und Weiterentwicklung extern, Redaktion intern.

Quellen

Ähnliche Artikel

Offen für ausgewählte Projekte

Lassen Sie uns über Ihr Projekt sprechen

Buchen Sie einen unverbindlichen Termin, schreiben Sie uns eine E-Mail oder nutzen Sie das Formular – wir freuen uns auf Ihre Nachricht.

150+
Abgeschlossene Projekte
15
Jahre Erfahrung
8
Senior‑Level Teammitglieder